guide

Segurança

A QuantaPay foi projetada com a segurança como princípio fundamental. Esta página explica nosso modelo de segurança e as melhores práticas para os comerciantes.

Atualizado: 09/03/2026

A QuantaPay foi projetada com a segurança como um princípio fundamental. Esta página explica nosso modelo de segurança e as melhores práticas para comerciantes.

Modelo Non-Custodial

A QuantaPay étotalmente non-custodial. Isso significa:

  • Nós nunca mantemos seus fundos.Os pagamentos vão diretamente da carteira do cliente para o endereço da sua carteira.
  • Nós nunca temos acesso às suas chaves privadas.Você mantém total controle de suas carteiras.
  • Sem processo de saque.Os fundos estão em sua carteira assim que são confirmados no blockchain.

Como Funciona

  1. Você configura os endereços de suas carteiras nas configurações da QuantaPay.
  2. Quando um cliente paga, a QuantaPay mostra a ele o endereço da sua carteira e o valor necessário.
  3. O cliente envia criptomoedas diretamente para sua carteira.
  4. A QuantaPay monitora o blockchain em busca da transação e a confirma.
  5. A QuantaPay notifica você via webhook quando o pagamento é confirmado.

Em nenhum momento a QuantaPay tem a custódia ou acesso aos seus fundos.

Proteção Contra Tokens Falsos

A QuantaPay inclui proteção integrada contra ataques de tokens falsos:

  • Verificação do endereço do contrato: Para tokens ERC-20 e BEP-20, a QuantaPay verifica o endereço do contrato inteligente do token para garantir que corresponda ao token esperado.
  • Verificação do valor: Os valores das transações são verificados em relação ao valor de pagamento esperado.
  • Confirmação no Blockchain: Os pagamentos devem atingir o número configurado de confirmações no blockchain antes de serem marcados como concluídos.

O Que é um Ataque de Token Falso?

Os invasores podem criar tokens com o mesmo nome (por exemplo, "USDT"), mas com um endereço de contrato diferente. Se um sistema de pagamento verificar apenas o nome do token e não o endereço do contrato, ele poderá aceitar tokens sem valor como pagamento. A QuantaPay verifica o endereço do contrato real para evitar isso.

Segurança da API

Autenticação por Chave de API

Todas as solicitações de API exigem sua chave de API. Mantenha-a confidencial:

  • Nunca a exponha no JavaScript do lado do cliente
  • Não a inclua em repositórios públicos
  • Altere-a se estiver comprometida (Configurações → Conta)

Verificação de Assinatura HMAC

Para a criação de sessões de checkout, você pode adicionar assinaturas HMAC-SHA256 para evitar a adulteração de solicitações:

  • As assinaturas usam sua Chave Secreta de Webhook
  • Os timestamps evitam ataques de repetição (janela de 5 minutos)

Verificação de Webhook

Os webhooks recebidos incluem sua Chave Secreta de Webhook no payload. Sempre verifique se isso corresponde ao seu segredo armazenado antes de processar.

Melhores Práticas para Comerciantes

1. Use HTTPS em Todos os Lugares

  • Seu endpoint de webhook deve usar HTTPS
  • Seu site deve usar HTTPS para incorporar formulários de pagamento

2. Proteja Suas Chaves de API

  • Armazene as chaves de API em variáveis de ambiente, não no código
  • Use código do lado do servidor para chamadas de API, nunca do lado do cliente
  • Faça o revezamento das chaves periodicamente

3. Verifique os Webhooks

  • Sempre verifique o campokeynos payloads do webhook
  • Implemente manipuladores de webhook idempotentes (evite o processamento duplo)
  • Registre todos os webhooks recebidos para trilhas de auditoria

4. Use Confirmações Apropriadas

  • Para transações de baixo valor ( < US$ 50): 1 a 3 confirmações
  • Para valor médio (US$ 50 a US$ 500): 3 a 6 confirmações
  • Para alto valor ( > US$ 500): mais de 6 confirmações ou ative o Aumento de Confirmação de Alto Valor

5. Monitore Seu Painel

  • Verifique a página de Transações regularmente
  • Ative as notificações por e-mail para eventos importantes
  • Revise os pagamentos insuficientes e as transações expiradas

6. Mantenha o Software Atualizado

  • Atualize o plugin do WordPress quando novas versões estiverem disponíveis
  • Monitore o changelog para correções de segurança

Privacidade de Dados

  • A QuantaPay armazena apenas os dados necessários para o processamento de transações.
  • Os endereços das carteiras dos clientes são visíveis na blockchain pública.
  • Nenhum dado financeiro pessoal (contas bancárias, cartões de crédito) é coletado.
  • Os dados da transação são retidos para fins de reconciliação.
Próximo → Perguntas Frequentes